Forensics in Spanish
Implantación ISO 17799 UNE 71502 Feb 03 2006 11:16AM
Alfredo Oblanca (aoblanca yahoo es) (1 replies)
RE: Implantación ISO 17799 UNE 71502 Feb 03 2006 08:05PM
Jose Ramirez (jose ramirez dynet com mx) (1 replies)
Que tal Alfredo,

Actualmente he estado trabajando en este sistema y he encontrado un proceso,
no sencillo, pero que permite un seguimiento de todo el proceso de
implementación de un SGSI. Aquí en México, bajo iniciativa de Microsoft se
ha dado una serie de cursos en línea, llamados Academia Latinoamericana de
Seguridad Informática, los cuales me ayudaron al proceso inicial de
conocimiento de la norma 17799:2000 o BS7799:1 y BS7799:2.

La liga para este curso es:

http://www.mslatam.com/latam/technet/cso/Html-ES/home.asp

Lo importante de este curso es que te sirva como guía para la implantación,
mas no de forma definitiva, ya que en algunos puntos se vuelve un poco
confusa. Y posteriormente trabajes en la realización de un procedimiento
propio para llevar a cabo la implementación del SGSI.

En lo particular hemos estado trabajando en un proceso que nos permita hacer
la implementación del SGSI. El cual consta de las siguientes partes:

* Auditoria de Sistemas

* Esta auditoria me permitirá conocer TODOS mis ámbitos de trabajo de
manera completa y detallada.
* Puede ser llevada a cabo en sitio, y/o por medio de herramientas
tecnológicas y posteriormente por medio de entrevistas con las personas que
conocen el estado actual de la seguridad o que tienen responsabilidad sobre
algunos activos.

* Administración de riesgos

* Esta fase me permite, según todo lo que encontraste en la auditoria,
realizar una identificación, costeo y priorización de riesgos y sobre todo
planificar su gestión.
* A los riesgos yo les he delimitado con 3 tipos de gestión: asumir,
transferir o mitigar los riesgos.

* Cada uno de estos procesos deben de tener todo un plan de trabajo.

* SGSI

* Creación de Política de Seguridad

* Esta política de seguridad es VITAL para los siguientes pasos de
implementación, ya que si en este documento no reflejas los ámbitos,
activos, valores, actividades, etc. de la empresa, además del señalamiento
de que dirección esta siempre apoyándote da por liquidado tu trabajo.

* Implementación de soluciones tecnológicas

* En este punto te vas a dedicar a hacer TODAS las correcciones
referentes a tecnologías que no tengas implementadas en tu red.
Refiriéndolos a firewall, Antivirus, IDS, etc. etc. etc. Todo con su debida
documentación

* Elaboración y/o revisión de documentación existente.

* Aquí deberás de revisar TODA la documentación que la norma te pide,
y que tu en tu política de seguridad señalaste como necesaria. Y revisar que
la documentación existente cubra con los requisitos.

* Revisión final

* Corroborar que todas las implementaciones tecnológicas y los
documentos generado tienen los lineamientos que estableciste en la política
de seguridad y que se estén llevando a cabo.

* Auditoria periódica

* Este es uno de los pasos importantes la revisión periódica de que lo
que se supone que se esta haciendo, en realidad se lleve a cabo. Aquí en
México tenemos una frase que dice: ?Orden dada y no supervisada, se la lleva
la chingada? por lo tanto es muy importante este paso. Obviamente además de
continuar con la revisión de tus riesgos, ver como están, si han sufrido
modificación y la documentación se ha ajustado, etc.

Este una fracción muy pequeña del proceso que llevo trabajando algunas
meses. Espero sea de gran ayuda. Lo más importante de todo es: Que TÚ
definas un sistema que se acople a TUS necesidades y sobre todo que tengas
compromisos de todos lados, la concientización es vital!

Espero sirva de algo y que los comentarios del resto de los participantes de
este foro, colaboren con más. Y sobre todo el doctor Jeimy J. Cano, que es
un maestro en esto?

Saludos cordiales,

Jose Ramirez

_____

De: Alfredo Oblanca [mailto:aoblanca (at) yahoo (dot) es [email concealed]]
Enviado el: Viernes, 03 de Febrero de 2006 05:17 a.m.
Para: forensics-es (at) securityfocus (dot) com [email concealed]
Asunto: Implantación ISO 17799 UNE 71502

Estimados profesionales,

me encuentro ante la necesidad de abordar la implantación de un sistema de
gestión de seguridad de los sistemas de información, y no sé exáctamente por
dónde empezar. Dispongo de mucha documentación relativa al tema, pero
necesitaría hacer una planificación detallada y con una estimación de
tiempos y recursos lo más cercana a la realidad. Si alguno de vosotros tiene
experiencia en el desarrollo de este tipo dde plances, os agradecería que me
echárais una mano.

Un saludo a todos,

Alfredo Oblanca

_____

LLama Gratis a cualquier PC del Mundo.
Llamadas a fijos y móviles desde 1 céntimo por minuto.
http://es.voice.yahoo.com
<http://us.rd.yahoo.com/mail/es/tagline/messenger/*http:/es.voice.yahoo.
com/
>

<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:st1="urn:schemas-microsoft-com:office:smarttags" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<meta name=Generator content="Microsoft Word 11 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]--><o:SmartTagType
namespaceuri="urn:schemas-microsoft-com:office:smarttags" name="PersonName"/>
<!--[if !mso]>
<style>
st1\:*{behavior:url(#default#ieooui) }
</style>
<![endif]-->
<style>
<!--
/* Font Definitions */
@font-face
{font-family:Helv;
panose-1:2 11 6 4 2 2 2 3 2 4;}
@font-face
{font-family:Wingdings;
panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
{font-family:Verdana;
panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman";}
a:link, span.MsoHyperlink
{color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{color:blue;
text-decoration:underline;}
p
{mso-margin-top-alt:auto;
margin-right:0cm;
mso-margin-bottom-alt:auto;
margin-left:0cm;
font-size:12.0pt;
font-family:"Times New Roman";}
span.EstiloCorreo18
{mso-style-type:personal-reply;
font-family:Verdana;
color:blue;
font-weight:normal;
font-style:normal;
text-decoration:none none;}
@page Section1
{size:595.3pt 841.9pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.Section1
{page:Section1;}
/* List Definitions */
@list l0
{mso-list-id:356587937;
mso-list-type:hybrid;
mso-list-template-ids:-628851494 201981953 201981955 201981957 201981953 201981955 201981957 201981953 201981955 201981957;}
@list l0:level1
{mso-level-number-format:bullet;
mso-level-text:\F0B7;
mso-level-tab-stop:36.0pt;
mso-level-number-position:left;
text-indent:-18.0pt;
font-family:Symbol;}
@list l0:level2
{mso-level-number-format:bullet;
mso-level-text:o;
mso-level-tab-stop:72.0pt;
mso-level-number-position:left;
text-indent:-18.0pt;
font-family:"Courier New";}
@list l0:level3
{mso-level-number-format:bullet;
mso-level-text:\F0A7;
mso-level-tab-stop:108.0pt;
mso-level-number-position:left;
text-indent:-18.0pt;
font-family:Wingdings;}
ol
{margin-bottom:0cm;}
ul
{margin-bottom:0cm;}
-->
</style>

</head>

<body lang=ES link=blue vlink=blue>

<div class=Section1>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span style='font-size:
10.0pt;font-family:Verdana;color:blue'>Que tal Alfredo,<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span style='font-size:
10.0pt;font-family:Verdana;color:blue'>Actualmente he estado trabajando en este
sistema y he encontrado un proceso, no sencillo, pero que permite un seguimiento
de todo el proceso de implementación de un SGSI. Aquí en México, bajo
iniciativa de Microsoft se ha dado una serie de cursos en línea, llamados
Academia Latinoamericana de Seguridad Informática, los cuales me ayudaron al
proceso inicial de conocimiento de la norma 17799:2000 o BS7799:1 y BS7799:2. <o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span style='font-size:
10.0pt;font-family:Verdana;color:blue'>La liga para este curso es: <o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span style='font-size:
10.0pt;font-family:Verdana;color:blue'><a
href="http://www.mslatam.com/latam/technet/cso/Html-ES/home.asp">http://
www.mslatam.com/latam/technet/cso/Html-ES/home.asp</a><o:p></o:p></span>
</font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span style='font-size:
10.0pt;font-family:Verdana;color:blue'>Lo importante de este curso es que te
sirva como guía para la implantación, mas no de forma definitiva, ya que en
algunos puntos se vuelve un poco confusa. Y posteriormente trabajes en la
realización de un procedimiento propio para llevar a cabo la implementación del
SGSI.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span style='font-size:
10.0pt;font-family:Verdana;color:blue'><o:p> </o:p></span></font></
p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span style='font-size:
10.0pt;font-family:Verdana;color:blue'>En lo particular hemos estado trabajando
en un proceso que nos permita hacer la implementación del SGSI. El cual consta
de las siguientes partes:<o:p></o:p></span></font></p>

<ul style='margin-top:0cm' type=disc>
<li class=MsoNormal style='color:blue;mso-list:l0 level1 lfo1'><font size=2
color=blue face=Verdana><span style='font-size:10.0pt;font-family:Verdana'>Auditoria
de Sistemas<o:p></o:p></span></font></li>
<ul style='margin-top:0cm' type=circle>
<li class=MsoNormal style='color:blue;mso-list:l0 level2 lfo1'><font size=2
color=blue face=Verdana><span style='font-size:10.0pt;font-family:Verdana'>Esta
auditoria me permitirá conocer TODOS mis ámbitos de trabajo de manera
completa y detallada.<o:p></o:p></span></font></li>
<li class=MsoNormal style='color:blue;mso-list:l0 level2 lfo1'><font size=2
color=blue face=Verdana><span style='font-size:10.0pt;font-family:Verdana'>Puede
ser llevada a cabo en sitio, y/o por medio de herramientas tecnológicas y
posteriormente por medio de entrevistas con las personas que conocen el
estado actual de la seguridad o que tienen responsabilidad sobre algunos
activos.<o:p></o:p></span></font></li>
</ul>
<li class=MsoNormal style='color:blue;mso-list:l0 level1 lfo1'><font size=2
color=blue face=Verdana><span style='font-size:10.0pt;font-family:Verdana'>Administración
de riesgos<o:p></o:p></span></font></li>
<ul style='margin-top:0cm' type=circle>
<li class=MsoNormal style='color:blue;mso-list:l0 level2 lfo1'><font size=2
color=blue face=Verdana><span style='font-size:10.0pt;font-family:Verdana'>Esta
fase me permite, según todo lo que encontraste en la auditoria, realizar
una identificación, costeo y priorización de riesgos y sobre todo planificar
su gestión.<o:p></o:p></span></font></li>
<li class=MsoNormal style='color:blue;mso-list:l0 level2 lfo1'><font size=2
color=blue face=Verdana><span style='font-size:10.0pt;font-family:Verdana'>A
los riesgos yo les he delimitado con 3 tipos de gestión: asumir, transferir
o mitigar los riesgos.<o:p></o:p></span></font></li>
<ul style='margin-top:0cm' type=square>
<li class=MsoNormal style='color:blue;mso-list:l0 level3 lfo1'><font size=2
color=blue face=Verdana><span style='font-size:10.0pt;font-family:Verdana'>Cada
uno de estos procesos deben de tener todo un plan de trabajo.<o:p></o:p></span></font></li>
</ul>
</ul>
<li class=MsoNormal style='color:blue;mso-list:l0 level1 lfo1'><font size=2
color=blue face=Verdana><span style='font-size:10.0pt;font-family:Verdana'>SGSI<o:p></o:p></span></fon
t></li>
<ul style='margin-top:0cm' type=circle>
<li class=MsoNormal style='color:blue;mso-list:l0 level2 lfo1'><font size=2
color=blue face=Verdana><span style='font-size:10.0pt;font-family:Verdana'>Creación
de Política de Seguridad<o:p></o:p></span></font></li>
<ul style='margin-top:0cm' type=square>
<li class=MsoNormal style='color:blue;mso-list:l0 level3 lfo1'><font size=2
color=blue face=Verdana><span style='font-size:10.0pt;font-family:Verdana'>Esta
política de seguridad es VITAL para los siguientes pasos de implementación,
ya que si en este documento no reflejas los ámbitos, activos, valores,
actividades, etc. de la empresa, además del señalamiento de que dirección
esta siempre apoyándote da por liquidado tu trabajo.<o:p></o:p></span></font></li>
</ul>
<li class=MsoNormal style='color:blue;mso-list:l0 level2 lfo1'><font size=2
color=blue face=Verdana><span style='font-size:10.0pt;font-family:Verdana'>Implementación
de soluciones tecnológicas<o:p></o:p></span></font></li>
<ul style='margin-top:0cm' type=square>
<li class=MsoNormal style='color:blue;mso-list:l0 level3 lfo1'><font size=2
color=blue face=Verdana><span style='font-size:10.0pt;font-family:Verdana'>En
este punto te vas a dedicar a hacer TODAS las correcciones referentes a
tecnologías que no tengas implementadas en tu red. Refiriéndolos a
firewall, Antivirus, IDS, etc. etc. etc. Todo con su debida documentación<o:p></o:p></span></font></li>
</ul>
<li class=MsoNormal style='color:blue;mso-list:l0 level2 lfo1'><font size=2
color=blue face=Verdana><span style='font-size:10.0pt;font-family:Verdana'>Elaboración
y/o revisión de documentación existente.<o:p></o:p></span></font></li>
<ul style='margin-top:0cm' type=square>
<li class=MsoNormal style='color:blue;mso-list:l0 level3 lfo1'><font size=2
color=blue face=Verdana><span style='font-size:10.0pt;font-family:Verdana'>Aquí
deberás de revisar TODA la documentación que la norma te pide, y que tu
en tu política de seguridad señalaste como necesaria. Y revisar que la
documentación existente cubra con los requisitos.<o:p></o:p></span></font></li>
</ul>
<li class=MsoNormal style='color:blue;mso-list:l0 level2 lfo1'><font size=2
color=blue face=Verdana><span style='font-size:10.0pt;font-family:Verdana'>Revisión
final<o:p></o:p></span></font></li>
<ul style='margin-top:0cm' type=square>
<li class=MsoNormal style='color:blue;mso-list:l0 level3 lfo1'><font size=2
color=blue face=Verdana><span style='font-size:10.0pt;font-family:Verdana'>Corroborar
que todas las implementaciones tecnológicas y los documentos generado
tienen los lineamientos que estableciste en la política de seguridad y
que se estén llevando a cabo.<o:p></o:p></span></font></li>
</ul>
</ul>
<li class=MsoNormal style='color:blue;mso-list:l0 level1 lfo1'><font size=2
color=blue face=Verdana><span style='font-size:10.0pt;font-family:Verdana'>Auditoria
periódica<o:p></o:p></span></font></li>
<ul style='margin-top:0cm' type=circle>
<li class=MsoNormal style='color:blue;mso-list:l0 level2 lfo1'><font size=2
color=blue face=Verdana><span style='font-size:10.0pt;font-family:Verdana'>Este
es uno de los pasos importantes la revisión periódica de que lo que se
supone que se esta haciendo, en realidad se lleve a cabo. Aquí en México
tenemos una frase que dice: “Orden dada y no supervisada, se la
lleva la chingada” por lo tanto es muy importante este paso. Obviamente
además de continuar con la revisión de tus riesgos, ver como están, si
han sufrido modificación y la documentación se ha ajustado, etc.<o:p></o:p></span></font></li>
</ul>
</ul>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span style='font-size:
10.0pt;font-family:Verdana;color:blue'><o:p> </o:p></span></font></
p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span style='font-size:
10.0pt;font-family:Verdana;color:blue'>Este una fracción muy pequeña del
proceso que llevo trabajando algunas meses. Espero sea de gran ayuda. Lo más
importante de todo es: Que TÚ definas un sistema que se acople a TUS
necesidades y sobre todo que tengas compromisos de todos lados, la
concientización es vital!<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span style='font-size:
10.0pt;font-family:Verdana;color:blue'><o:p> </o:p></span></font></
p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span style='font-size:
10.0pt;font-family:Verdana;color:blue'>Espero sirva de algo y que los
comentarios del resto de los participantes de este foro, colaboren con más. Y
sobre todo el doctor Jeimy J. Cano, que es un maestro en esto…<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span style='font-size:
10.0pt;font-family:Verdana;color:blue'><o:p> </o:p></span></font></
p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span style='font-size:
10.0pt;font-family:Verdana;color:blue'>Saludos cordiales,<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span style='font-size:
10.0pt;font-family:Verdana;color:blue'><o:p> </o:p></span></font></
p>

<div>

<p class=MsoNormal><st1:PersonName ProductID="Jose Ramirez" w:st="on"><strong><b><font
size=4 color=blue face=Verdana><span style='font-size:13.5pt;font-family:Verdana;
color:blue'>Jose Ramirez</span></font></b></strong></st1:PersonName><font
color=blue><span style='color:blue'><o:p></o:p></span></font></p>

</div>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>

<hr size=2 width="100%" align=center tabindex=-1>

</span></font></div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span style='font-size:10.0pt;
font-family:Tahoma;font-weight:bold'>De:</span></font></b><font size=2
face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma'> Alfredo Oblanca
[mailto:aoblanca (at) yahoo (dot) es [email concealed]] <br>
<b><span style='font-weight:bold'>Enviado el:</span></b> Viernes, 03 de Febrero
de 2006 05:17 a.m.<br>
<b><span style='font-weight:bold'>Para:</span></b>
forensics-es (at) securityfocus (dot) com [email concealed]<br>
<b><span style='font-weight:bold'>Asunto:</span></b> Implantación ISO 17799 UNE
71502</span></font><o:p></o:p></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=3 face=Helv><span style='font-size:12.0pt;
font-family:Helv'> </span></font> <o:p></o:p></p>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Estimados profesionales,<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'> <o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>me encuentro ante la necesidad de abordar la implantación de un sistema
de gestión de seguridad de los sistemas de información, y no sé exáctamente por
dónde empezar. Dispongo de mucha documentación relativa al tema, pero
necesitaría hacer una planificación detallada y con una estimación de tiempos y
recursos lo más cercana a <st1:PersonName ProductID="la realidad. Si" w:st="on">la
realidad. Si</st1:PersonName> alguno de vosotros tiene experiencia en el
desarrollo de este tipo dde plances, os agradecería que me echárais una mano.<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Un saludo a todos,<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'> <o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Alfredo Oblanca<o:p></o:p></span></font></p>

</div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>

<hr size=1 width="100%" align=center>

</span></font></div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><br>
</span></font><font size=1 face=Verdana><span style='font-size:7.5pt;
font-family:Verdana'>LLama Gratis a cualquier PC del Mundo.<br>
Llamadas a fijos y móviles desde 1 céntimo por minuto.<br>
<a
href="http://us.rd.yahoo.com/mail/es/tagline/messenger/*http:/es.voice.y
ahoo.com/">http://es.voice.yahoo.com</a></span></font><o:p></o:p></p>

</div>

</body>

</html>

[ reply ]
RE: Implantación ISO 17799 UNE 71502 Feb 04 2006 10:10PM
Annelie Guillen (annguillenv yahoo com mx)


 

Privacy Statement
Copyright 2010, SecurityFocus